[English]Sicherheitsforscher sind auf ein riesiges Botnetz mit dem Namen "Vo1d" auf Android TV-Geräten gestoßen. Um die 1,6 Millionen Geräte sind wohl infiziert, wobei viele in Asien oder Südamerika und Afrika stehen. In Deutschland sind 2,17 % der infizierten Android TV-Geräte verortet worden.
Anzeige
Ein auffälliges Verhalten des TV wirft Fragen auf
Heutzutage hängen TV-Geräte ja gerne am Internet, es sind ja "Smart-TVs" und als Betriebssystem wird häufig Android verwendet, wobei der Patchstand in der Regel ein riesiges Problem darstellt. Da ist es kein Wunder, dass die Geräte durch Malware verseucht sind.
Wie die neue Welt dann ausschaut, wurde aktuell an einem speziellen Vorfall klar. Am 24. Februar 2025 berichtete NBC News über den Vorfall, dass ein KI-Video auf TV-Geräten im Hauptquartier des U.S. Department of Housing and Urban Development (HUD) in Washington, D.C. zu sehen war. Das Video zeigte Präsident Donald Trump, wie er sich verbeugte, um Elon Musks Zehen zu küssen. Das Ganze wurde von der fetten Bildunterschrift LONG LIVE THE REAL KING begleitet.
Das Personal der betreffenden Behörde war nicht in der Lage, das Video abzuschalten und musste alle Fernsehgeräte ausstecken (das hatte ich auf X und BlueSky mitbekommen). Der Vorfall löste in den USA eine breite öffentliche Debatte aus. Auch Sicherheitsforscher führen inzwischen eine Neubewertung der erheblichen Risiken durch, die von gehackten Geräten wie Fernsehern und Set-Top-Boxen ausgehen.
Botnetz auf Android TV-Geräten
Sicherheitsforscher von Qianxin XLab sind am 28. November 2024 mittels des Cyber Threat Insight and Analysis System (CTIA) auf die IP 38.46.218.36 gestoßen. Von dieser IP wurde eine ELF-Datei namens jddx verteilt, die von VirusTotal von keinem der Scanner als Schadsoftware erkannt wurde.
Anzeige
Das in der Qianxin XLab Lösung CTIA enthaltene KI-Erkennungsmodul stellte fest, dass die Datei Code für das "Bigpanzi-Botnet-DNA" enthält. Das weckte das Interesse der Sicherheitsforscher. Eine schnelle Analyse bestätigte, dass es sich bei jddx um einen Downloader handelt, der den Bigpanzi-Stringverschlüsselungs-Algorithmus verwendet. Allerdings unterscheidet sich die Codestruktur deutlich von bekannten Bigpanzi-Beispielen.
Es stellt sich die Frage, ob das Millionen-Geräte umfassende Botnet Bigpanzi (wurde 2024 aufgedeckt) heimlich eine neue Operationen durchführen will? Bei der Analyse sind die Sicherheitsforscher dann auf eine Malware gestoßen, die Android TV-Geräte befällt und diese in ein Botnetz integriert. Die Experten kamen zum Schluss, dass jddx tatsächlich zu einer neuen Variante eines anderen Millionen-Geräte-Botnets mit dem Namen Vo1d gehört. Es handelt sich bei der erwähnten Schaddatei jddx um einen bisher unentdeckten Downloader, der eine neue Vo1d-Nutzlast liefert. Dies war der Beginn der neuen Kampagne von Vo1d.
In nachfolgendem Post ist die Rede davon, dass 1,6 Millionen Android TV-Geräte in mehr als 200 Ländern durch das Vo1d-Botnetz infiziert sind. Es wird auch die Grafik mit den 15 Ländern mit den meisten Infektionen gezeigt – Deutschland ist dabei.
Die Analyse haben Sicherheitsforscher von Qianxin XLab Ende Februar 2025 im Artikel Long Live The Vo1d Botnet: New Variant Hits 1.6 Million TV Globally veröffentlicht. Dieses Vo1d-Botnetz ist größer als das Mirai Botnet mit hunderttausenden Geräten. Der Angriff auf CloudFlare in 2024 wurden von einem Botnetz mit 15.000 Geräten ausgeführt.
Derzeit wird Vo1d zu Gewinnzwecken (DDoS-Angriffe) eingesetzt. Da die Angreifer die vollständige Kontrolle über die Geräte besitzen, könnten sie groß angelegte Cyberangriffe oder andere kriminelle Aktivitäten zu starten.
Im Cloudflare-Bericht für das vierte Quartal 2024 wurde beispielsweise festgestellt, dass Android-Fernseher und Set-Top-Boxen an DDoS-Angriffen beteiligt sind. Wenn Vo1d als Waffe eingesetzt würde, könnten seine 1,6 Millionen Geräte kritische Systeme wie das Bankwesen, das Gesundheitswesen und die Luftfahrt stören und ein weit verbreitetes Chaos verursachen.
Über die obigen Szenarien hinaus stellen kompromittierte Fernsehgeräte und Set-Top-Boxen die Gefahr dar, dass Hacker unerlaubte Inhalte verbreiten können. Auch das kam bereits in realen Fällen vor. Die Sicherheitsforscher haben im Artikel Long Live The Vo1d Botnet: New Variant Hits 1.6 Million TV Globally eine technische Analyse der Malware vorgelegt.
Endanwender haben in meinen Augen kaum eine Möglichkeit, auf ihren Android-TV-Geräten die Schadfunktionen zu entdecken und zu bereinigen. Hier hilft nur, die Geräte offline zu betreiben und auf Smart TV zu verzichten. Beißt sich natürlich mit Netflix, Magenta TV & Co. Ob Provider eine Möglichkeit haben, die Kommunikation der infizierten Geräte mit C2-Servern zu unterbinden, weiß ich nicht. Beim Kauf des letzten TV-Geräts für eines meiner Kinder habe ich bewusst auf eine Android-Variante verzichtet und dieses auch nicht online genommen.
Anzeige
Ich habe hier auch nur ein Smart-TV, weils keine anderen Geräte mehr im Handel gibt.
Der dient aber nur als dummer Monitor, an dem mein SAT-Receiver hängt.
Ich hatte den Smart-TV kurz ausprobiert, aber die Bedienung ist so unterirdisch schlecht (z.B. Fernbedienung ohne 10er Tastatur), und die Umschaltzeiten zwischen den Programmen absurd lang (so um die 5-7 Sekunden), so das ich das Experiment abgebrochen habe und meinen 10 Jahre alten E2 SAT-Receiver dran angeschlossen habe.
Dessen Bedienung ist dem des Smart-TVs meilenweit überlegen, die Umschaltzeiten mit ca. 0,2-0,3 Sekunden sehr sehr deutlich schneller.
Und dank Plugins kann der SAT-Receiver auch Youtube und diverse Streamingdienste.
Und der SAT-Receiver spioniert einen auch nicht aus und telefoniert auch nicht nach Hause. Und Updates gibts trotz des Alters auch noch alle paar Wochen.
Und da mein Smart-TV auch nicht ans Netzwerk angeschlossen ist und nie angeschlossen werden wird, gibts damit auch keine Sicherheitsprobleme.
Schadsoftware auf Smart-Geräten und IoT-Geräten ist ein erhebliches Problem.
Insbesondere, da es für diese Geräte nur selten Sicherheitsupdates gibt und der Anwender auch keine Kontrolle über diese Geräte hat.
Und wenn man "Glück" hat, blenden die Smarten Kisten auch noch Werbung ein. Ich mach's genauso wie R.S.: ext. Sat-Receiver anschliessen und gut ist.
Keine Ahnung wieviel sich die Entwickler da sparen, indem der Android-Mist da eingebaut wird…aber es muss sich wohl in der Gewinnmarge bemerkbar machen, sonst würden nicht soviele auf den Mist setzen.
"Und der SAT-Receiver spioniert einen auch nicht aus und telefoniert auch nicht nach Hause."
Und das weißt du auch ganz genau?
Ja.
Es ist ein E2-Receiver, d.h. OpenSource.
Ich kann mich noch erinnern, als eine (ich glaube) tschechische "Künstlergruppe" das Wetterpanorama gehacked hatte und ein Atompilz kurzzeitig in eine der Wetterpanoramaansichten eingeblendet wurde.
Wenn eine Organisation Zugriff auf viele TVs hat kann diese individuell Nachrichten, Teilnachrichten verfälscht an die Zuschauer ausgeben. Man kann z.B. abfragen, wer sieht gerade Zeit im Bild/Tageschau und genau dort mitten in das normale TV Bild einen eigenen "Beitrag" einspielen. Der kann mittels KI genau mit den typischen Moderatoren sein, nur der Inhalt ist abgeändert. Somit können dann durch Fake-News nicht nur über Social Media, sondern auch die konservativen Seher des normalen staatlichen Fernsehens desinformiert werden. Das tragische, der Sender bekommt das gar nicht mit – im Gegensatz zu dem Atompilz, der sofort in allen Medien war. Auch kann wirklich komplett individuell für Personengruppen solche Fakenews erstellt und gezeigt werden. Schöne neue Welt…
Den Zugriff auf eine etwaige Kamera sollte man auch nicht vergessen, falls der TV für Videokonferenzen vorgesehen ist…
Frei nach olle Goethe: "…Herr, die Not ist groß! Die ich rief die Geister werd' ich nun nicht los…."
Was zu (üblen) Zwecken genutzt werden kann, wird auch genutzt!
Eher sag' ich dem Fernseher "adieu", als das ich mich auf diese Spielchen mit Zwangs-"Smart"-Beglückung einlasse.
Oder einfach in der Routerfirewall den Zugang des Smart-TVs zum Internet sperren.
Geht z.B. bei der Fritzbox mit ein paar Mausklicks.
Die Story geht jetzt schon ein paar Tage durch die News-Portale. Aber bisher keines der Portale konnte einen IOC nennen, mit dem ich erkennen kann, dass z.B. mein Sony Bravia befallen sein könnte. Die laufen auch mit Android und man kann sie sogar mit dem eigenen Google-Account verknüpfen und dann mittels der Google-Play-App auf dem Smartphone nachsehen, was für Apps in welcher Version darauf sind, die aber alle schon länger keine Updates mehr bekamen.
@Born
"Hier hilft nur, die Geräte offline zu betreiben und auf Smart-TV zu verzichten."
SmartTVs sind nicht betroffen, sondern eher diese dubiosen TV-Boxen aus China, die auf Amazon, Alibaba etc. angeboten werden und die tollsten Funktionen anpreisen.
Die TV-Boxen von Nokia, Nvidia oder einem anderen großen Hersteller mit zertifizierten Playstore sind ebenfalls nicht betroffen.
"Auch im vergangenen Jahr hatte Google nach der Entdeckung der Malware klargestellt, dass sie nicht auf mit Play-Protect geschützten Geräten wie etwa Fernsehern läuft, die mit "Android TV" vermarktet werden. Vielmehr, so Google, soll Vo1d ausschließlich auf Set-Top-Boxen aktiv sein, auf denen eine modifizierte Version von AOSP als vermeintliches Android TV nachgebildet wurde. Solche Geräte sind, im Gegensatz zu offiziellen Android-TV-Geräten, von zahlreichen Versendern für einen Bruchteil der Preise von Originalgeräten zu haben."
https://www.heise.de/news/Neue-Version-des-Vo1d-Botnetzes-auf-Hunderttausenden-Geraeten-mit-Android-TV-10300891.html
https://www.heise.de/news/Neue-Version-des-Vo1d-Botnetzes-auf-Hunderttausenden-Geraeten-mit-Android-TV-10300891.html
Da würde mich ja der tatsächliche Angriffsvektor mal interessieren. "Nicht gepatchtes Android" ist zwar immer unschön, wird allerdings auch gerne ziemlich unterkomplex als Ursache benannt. Abgesehen von Mobilfunk, wo wieder andere Mechanismen greifen, hängen Endgeräte ja nicht direkt im Internet, sind demnach nicht von außen erreichbar.
So lange eine Settop-Box lediglich die aus dem PlayStore geladene App XY ausführt, ist relativ unerheblich, ob das drunterliegende Android aktuell ist oder nicht.
Anders sieht es natürlich aus, wenn man auf der Box einen Browser benutzt oder Apps aus unsicheren Quellen installiert.
Naja, Google hat schon häufiger Apps aus dem Playstore entfernt, die mit Schadsoftware kompromittiert war.
Die Appanbieter gehen da oft nach folgender Masche vor:
1. Saubere App für den Playstore einreichen
2. Nachdem die im Playstore drin ist, etwas abwarten und mehrere saubere Updates ausliefern.
Und wenn die App dann eine gewisse Verbreitung hat, dann in einem weiteren Update Schadsoftware einbauen.
Geprüft werden die App-Updates nämlich nicht mehr.
Danke für den Kommentar, das ist dann in der Tat ein Szenario, wo nicht aktuelles Android es der Malware potentiell leichter macht.
In diesem Fall scheint es aber nicht so gelaufen zu sein, jedenfalls geben die Artikel diesbezüglich nicht so recht etwas her.
Diese ganzen "Smart"-Sachen sind ja schon lange ins Gerede gekommen,
Smart-Home, Smart-Meter, alles, was im weitesten Sinne mit IoT (Internet of Things) zu tun hat, natürlich auch Smartphones, sofern man sie nicht bändigt (Fdroid etc., Verzicht auf sog.
"Soziale Netzwerke", nicht alles einfach
anklicken, vernünftiger Browser ( z.B.
nach der Einstellung von "Mull" von
DivestOs dessen Fork "IronFox", wenigstens aber "Fennec" mit einigen
guten Erweiterungen (AddOns), als
Suchmaschine "Startpage".
Von Bedrohung durch Set-Top-Boxen
höre ich hier zum ersten Mal. Ich
verstehe darunter z.B. Satelliten-
Receiver. Die hängen doch eigentlich
garnicht am Internet, wenn man mal
von den seltenen OTA-Updates, die man
ja, wenn überhaupt, selbst anstöẞt.
Android-TV u.ä. kommt mir nicht ins
Haus, da die Schutzmöglichkeiten dort
gleich Null sind (wenn man nur einen Monitor braucht ist man mit einem
mittelprächtigen plus Sat-Anlage besser bedient, muß ja nicht gleich
ein wandfüllender sein, der locker mehr
Strom verbraucht als ein großer Röhren-Fernseher.
Was mich bei Internet-TV besonders stört ist, daß das Internet dadurch
langfristig zerstört wird. Anders als bei linearem Fernsehen, wo alle zur selben
Zeit die selben Signale empfangen,
wird ja bei Internet-TV jedesmal, wenn
ein neuer Zuschauer denselben Fllm
einschaltet eine weitere Kopie ins Netz
gestellt. Ergebnis: für die Aussendung
eines einzigen Films sind u.U.
Millionen zeitversetzte Kopien gleichzeitig unterwegs und verstopfen
das Netz. Das sind Netflix u. Co nicht
wert (vom Inhaltlichen ganz abgesehen).
Es gibt auch Multicast, wird bei IPTV von den meisten TV-Sendern genutzt, da es senderseitig enorm Ressourcen spart.
Da gibt es auch nur 1 Sender, aber viele Empfänger.
Alle empfangen wie bei SAT, Kabel etc. das gleiche Signal zeitgleich.
Ich schreibe jetzt mal stellvertretend höchstwahrscheinlich für die meisten TV-Besitzer:
Ich kaufe mir doch keinen >2000€-TOP-UHD-TV, um ihn nach nur 4 Jahren nur deshalb zu verschrotten, weil es keine Sicherheitsupdates mehr gibt !
Und ich lasse ihn auch danach noch im Netz, weil ich aktuelle TV-Guide-Programmdaten haben will, und auch weiterhin Youtube etc. sehen will – OHNE mir extra noch besser updatefähige Zusatzhardware wie Nvidia Shield o.ä. kaufen zu müssen.
Wenn das Problem wirklich global gelöst werden soll, dann muss der Gesetzgeber (bzw. die von ALLEN Ländern) gemeinsam alle Hersteller verpflichten, mindestens 10 Jahre lang Sicherheitsupdates bereitzustellen. Oder ansonsten für Schadensersatz aufkommen zu müssen.
Denn solange will und werde ich meinen TV mindestens benutzen !
…Es ist doch irrwitzig, dass Smartphones mittlerweile 8 Jahre lang Updates bekommen, aber TVs gerade mal halb so lang, obwohl sie mindestens doppelt so lang genutzt werden !
Du hast im Kern Recht, allerdings darfst Du nicht übersehen, dass Smartphones die um Größenordnungen sensibleren Geräte sind. Ein gehackter Fernseher kann dem Nutzer selbst nur sehr begrenzt schaden, ein übernommenes Smartphone ein Leben zerstören (hängt natürlich von den jeweiligen Nutzungsszenarien ab, aber die Tendenz sollte klar sein).
Die Hersteller vernünftiger (nachhaltiger) Smartphones preisen die langen Update-Zeiträume mittlerweile ja auch ein. Bei TVs bin ich mir da zumindest nicht sicher.
Das kommt ganz auf den Smart-TV drauf an.
Es gibt auch welche z.B. mit Sprachsteuerung (hat meiner z.B., Mikrofon ist in der Fernbedienung) und auch welche, die auch eine Kamera haben.
Stell dir vor, der Smart-TV ist gehackt und du vergnügst dich mit deiner Partnerin auf dem Sofa und der gehackte TV schickt Bild und Ton an den Hacker, der nimmt dann alles schön auf und stellt das Video dann ins Internet.
So etwas will keiner!